La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act - CCPA) vise à protéger la vie privée des résidents californiens et a des implications pour les entreprises qui traitent leurs informations personnelles. À bien des égards, la CCPA est considérée comme l'équivalent du GDPR en Europe.
Dans cet article, nous décrirons ce que représente la CCPA et comment elle s'applique. En outre, nous proposons aux entreprises qui utilisent Google Analytics des mesures de mise en conformité.
Plongeons dans le vif du sujet !
- Qu'est-ce que la CCPA ?
- Qui a des obligations en vertu du CCPA ?
- Que signifie la loi sur la protection des données pour l'analyse des sites web ?
- Google Analytics est-il conforme à la loi sur la protection des données ?
- Comment puis-je rendre Google Analytics conforme aux règles de confidentialité ?
- Réflexions finales
Qu'est-ce que la CCPA ?
Le California Consumer Privacy Act est une loi qui protège les droits à la vie privée des résidents californiens. Le CCPA a été adopté en 2018 et modifié en 2020 par le California Privacy Rights Act. Elle fait partie du code civil californien.
Des informations détaillées sur le CCPA sont disponibles sur le site web du gouvernement californien.
Qui a des obligations en vertu du CCPA ?
Toutes les organisations ne sont pas couvertes par le CCPA.
La loi ne couvre les entreprises que lorsqu'elles remplissent certains critères :
- elles ont un revenu annuel brut supérieur à 25 millions de dollars
- elles achètent, vendent ou partagent les informations personnelles d'au moins 100 000 résidents, ménages ou appareils californiens
- au moins 50 % de leurs revenus proviennent de la vente d'informations personnelles de résidents californiens.
Ces critères sont alternatifs : dès lors que l'un d'entre eux est rempli, la CCPA s'applique. La CCPA a également un effet extraterritorial en ce sens qu'elle peut s'appliquer à des entreprises établies en dehors de la Californie et des États-Unis.
L'ACCP se concentre sur les entreprises et ne s'applique pas, pour l'essentiel, aux agences gouvernementales et aux organisations à but non lucratif. Il ne s'applique pas non plus aux entités couvertes par d'autres lois sur la protection de la vie privée, telles que l'HIPAA.
Que signifie la loi sur la protection des données pour l'analyse des sites web ?
À l'origine, la CCPA exigeait un système de consentement préalable pour la vente d'informations personnelles.
La définition de la vente d'informations personnelles est très large. Cependant, certaines entreprises ont fait valoir que la divulgation d'informations personnelles à des fins de publicité comportementale inter-contexte ne constituait pas une vente.
La législature californienne a décidé de clarifier ce point en adoptant l'ACPR. La nouvelle loi étend le système d'opt-in de la CCPA au partage d' informations personnelles et précise que le partage d'informations inclut la publicité comportementale cross-contextuelle.
En résumé, la publicité comportementale trans-contextuelle nécessite un consentement explicite. C'était déjà assez clair avant l'entrée en vigueur de l'ACPR et cela ne fait plus aucun doute aujourd'hui.
En revanche, si vous analysez le comportement des visiteurs à des fins strictement analytiques, l'obligation de consentement ne s'applique pas.
Google Analytics est-il conforme à la loi sur la protection des données ?
La loi sur la protection des données n'exige pas de consentement préalable pour la mise en place de cookies. Toutefois, les consommateurs ont le droit de refuser la vente et le partage de leurs données personnelles.
La notion de partage des données couvre la publicité comportementale cross-contextuelle, c'est-à-dire le profilage et la publicité effectués par une entreprise sur la base d'informations collectées sur d'autres sites web et applications.
Google Analytics le fait par défaut. Il est possible d'utiliser Google Analytics de manière conforme, mais il incombe au client d'utiliser l'outil de manière légale.
Si vous utilisez Google Analytics, vous avez deux possibilités pour vous conformer à la loi sur la protection des données :
- offrir à vos visiteurs la possibilité de se désinscrire par le biais d'une page "Ne pas vendre ou partager mes données".
- activer le paramètre de restriction du traitement des données pour Google Analytics.
Si vous choisissez de restreindre le traitement des données, vous devrez peut-être aussi activer ce paramètre pour d'autres services Google. Par exemple, ce paramètre doit être activé manuellement pour Google Ads (ce qui limitera la publicité sur votre site web à des annonces non ciblées). Cette liste de Google précise quels services Google prennent en charge cette option et si elle est activée par défaut.
Que vous décidiez ou non de partager des informations personnelles, vous devez également fournir un avis sur la collecte d'informations personnelles et répondre aux demandes d'accès et de suppression d'informations émanant de vos visiteurs.
Comment puis-je rendre Google Analytics conforme aux règles de confidentialité ?
Fournir une page "Ne pas vendre ou partager
La loi sur la protection des données exige que les entreprises qui vendent ou partagent des données mettent à disposition sur leur site web une page "Ne pas vendre ou partager mes données".
Le lien vers cette page doit être clair et visible : s'il est difficile à trouver, le site web enfreint la loi. L'option de refus doit également être facilement accessible : les entreprises ne sont pas autorisées à exiger un enregistrement ou une vérification de l'identité pour refuser de participer.
En outre, la loi ne vous autorise pas à refuser des fonctionnalités de votre site web ou de votre service aux utilisateurs qui refusent la vente et le partage de données à caractère personnel : vous devez traiter les utilisateurs qui refusent comme tous les autres.
Bien entendu, cette page n'est pas seulement destinée à être vue : vous devez vous assurer que vous avez mis en place des procédures techniques permettant d'honorer les demandes de refus de vente ou de partage.
Contrôle mondial de la protection de la vie privée
Lecontrôle mondial de la protection de la vie privée est une norme technique pour les demandes de non-traçage. Un signal GPC est envoyé par le navigateur du visiteur et demande aux sites web de ne pas vendre ou partager les informations du visiteur. Certains navigateurs prennent en charge le GPC de manière native, tandis que d'autres nécessitent une extension.
En vertu de la législation californienne, les signaux GPC doivent être respectés comme s'il s'agissait de demandes d'exclusion. Par conséquent, si vous partagez des informations personnelles, vous devez cesser de les partager. Cette règle a déjà été appliquée par le passé à l'encontre du détaillant de produits cosmétiques Sephora.
Veuillez noter que les CGP ne constituent pas une option de retrait de la collecte de données en soi, mais seulement du partage de données. Vous pouvez toujours collecter les informations personnelles des visiteurs qui envoient un signal GPC si vous ne les vendez pas ou ne les partagez pas.
Fournir un avis
Les sites web soumis à la CCPA doivent informer les visiteurs que leurs données sont collectées. L'information doit être fournie au moment de la collecte des données ou au préalable.
L'avis doit informer les visiteurs des informations collectées et des finalités de la collecte. Elle doit également renvoyer à la politique de confidentialité du site web (qui n'est pas la même que la notification elle-même). En outre, si le site web partage les informations des visiteurs, il doit les informer que c'est le cas et renvoyer à la page "Ne pas vendre ou partager mes données".
Cette exigence ne dépend pas de la vente ou du partage des données : même si vous ne partagez pas les données que vous collectez, vous devez toujours fournir une notification à vos visiteurs.
Honorer les demandes des consommateurs
Les consommateurs peuvent demander aux entreprises des informations sur les données, notamment sur les types et les sources d'informations personnelles, les finalités de leur utilisation et les informations relatives à la divulgation des données. Ils peuvent également exiger des entreprises qu'elles suppriment leurs données.
Si vous recevez l'une de ces demandes, vous devez vous y conformer dans un délai de 45 jours (qui peut être prolongé de 45 jours supplémentaires, pour un total de 90 jours). Pour traiter correctement les demandes, vous devez établir au préalable des procédures standard et former correctement votre personnel.
Les entreprises doivent vérifier que la demande émane bien du consommateur auquel les données à caractère personnel se rapportent. Pour ce faire, elles sont autorisées à demander davantage d'informations personnelles. Ces informations ne peuvent être utilisées qu'à des fins de vérification et ne peuvent être utilisées par l'entreprise à d'autres fins.
Comme pour la fourniture d'informations, l'obligation de répondre aux demandes s'applique également aux entreprises qui ne partagent pas leurs données : si vous recueillez des informations personnelles sur des résidents de Californie, vous avez l'obligation de répondre à ces demandes, quelle que soit l'utilisation que vous faites de ces informations.
Réflexions finales
Nous avons présenté les étapes nécessaires aux entreprises pour assurer leur conformité en matière d'analyse de sites web. Il est important de se conformer à la réglementation en matière de protection de la vie privée, mais cela peut parfois s'avérer compliqué. Heureusement, il existe des produits d'analyse de sites web qui sont conformes dès le départ.
Nous avons conçu Simple Analytics en tenant compte de la protection de la vie privée. Nous avons adopté une approche de conception respectueuse de la vie privée et fournissons les informations dont chaque entreprise a besoin sans utiliser de cookies ni collecter de données personnelles. Nous sommes 100% conformes à la CCPA. Nous pensons qu'Internet doit être indépendant et convivial pour les visiteurs des sites web. Si vous êtes d'accord, n'hésitez pas à nous essayer !